• 指間主站
• 空間域名
• 企業(yè)郵局
• 在線商城
• 幫助中心
• 支付方式
• 收藏本站

• 域名注冊(cè)
• 網(wǎng)站建設(shè)
• 虛擬主機(jī)
• 企業(yè)郵局
• 智能建站
• 平面設(shè)計(jì)
• 多媒體制作
• 改版維護(hù)
• 網(wǎng)站推廣
• 程序開發(fā)
• 電腦維修

• ·聯(lián)系電話:+86.023-75585550
• ·聯(lián)系傳真:+86.023-75585550
• ·24小時(shí)手機(jī):13896886023
• ·QQ 咨 詢：361652718 513960520

整理磁盤發(fā)現(xiàn)之前有個(gè)有趣的流氓招數(shù)忘記分享了,每次看到新鮮的東東都感慨黑暗勢(shì)力的層出不窮的招數(shù),比某些安全廠商是不是自相殘殺好多了.電腦日常使用過程中我們經(jīng)常輸入開頭為http ftp,點(diǎn)擊諸如ed2k的鏈接,每個(gè)鏈接的背后都會(huì)執(zhí)行相應(yīng)的功能.如http 通過iexplore.exe,ed2k通過QQ旋風(fēng)打開..這次是病毒作者利用這個(gè)特性來實(shí)現(xiàn)隱蔽加載病毒躲避查殺
1 相遇URL Protocol
   
 
  (1) 靈異的Internat Explorer.url
     去年12月遠(yuǎn)程解決一個(gè)用戶問題的時(shí)候發(fā)現(xiàn),第一看到httqs的時(shí)候馬上就理解為https,心想https://www.baidu.com(我的猜想是這里使用百度是為了防止某些安全軟件檢測(cè),大家都知道這個(gè)網(wǎng)站太真,太正常了)不是很正常嗎?結(jié)果呢打開一個(gè)網(wǎng)址導(dǎo)航網(wǎng)站. 發(fā)現(xiàn)此q非p以后恍然大悟,看來問題就出在這個(gè)httqs,打開注冊(cè)表HKEY_CLASSES_ROOT查找果然發(fā)現(xiàn)貓膩,最終通過IEXPLORE.EXE打開h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17導(dǎo)航網(wǎng)站
 
[HKEY_CLASSES_ROOT\httqs]
"URL Protocol"=""
[HKEY_CLASSES_ROOT\httqs\shell\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"

(2) 再見神奇RunOnce病毒啟動(dòng)項(xiàng)
    接下來又遇到幾個(gè)反復(fù)清除的問題反饋,經(jīng)過檢查發(fā)現(xiàn)這些電腦普遍都存在一個(gè)看上去不是很合理的RunOnce病毒啟動(dòng)項(xiàng).看到ADCS:\\Windows\\system32\\debug.exe第一印象是是不是病毒作者寫錯(cuò)了,第二印象Windows\\system32\\debug.exe(根據(jù)我的猜測(cè)這個(gè)只是為了繞過安全軟件檢測(cè),因?yàn)橹赶虻奈募�是正常�?這個(gè)文件是不是存在問題,但是到sys32目錄下查找這個(gè)文件明明是系統(tǒng)文件沒問題.最終依然將目光轉(zhuǎn)移到ADCS:打開注冊(cè)表HKEY_CLASSES_ROOT,顯然最終目的是運(yùn)行病毒文件D:\\RECYCLERZT1\\2.vbe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Explorer"="Explorer ADCS:\\Windows\\system32\\debug.exe"
[HKEY_CLASSES_ROOT\ADCS]
@="目錄類容器"
"URL Protocol"=""
[HKEY_CLASSES_ROOT\ADCS\explorer\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA  D:\\RECYCLERZT1\\2.vbe"
 

2 URLProtocolView查看電腦中所有URL Protocol
   URLProtocolView:一個(gè)小工具可以查看電腦里面所有的URL Protocols,運(yùn)行URLProtocolView以后按照修改時(shí)間排列如圖馬上就發(fā)現(xiàn)可疑項(xiàng)目ADCS和device.